Hjem » Nyheder » Kinesiske hackere oprette en ny bagdør til MSSQL servere

Kinesiske hackere oprette en ny bagdør til MSSQL servere

ESET specialister opdaget et nyt værktøj, der skabte kinesiske hackere fra Winnti gruppe, og der var designet til at foretage ændringer i Microsoft SQL Server (MSSQL) databaser med henblik på at skabe en bagdør.

ENs en ekstra fordel, en bagdør skjuler sessioner i databasen forbindelse logger hver gang hackere bruger en ”magiske kodeord”, som hjælper angribere gå ubemærket hen.

”Sådan en bagdør kan give en hacker at listende kopiere, ændre eller slette database indhold. Dette kan bruges, for eksempel, at manipulere in-game valuta for økonomisk vinding. In-game valuta database manipulationer ved Winnti operatører allerede er blevet rapporteret”, - skrive ESET specialister.

Værktøjet hedder skip-2,0 og er beregnet til at modificere MSSQL funktioner, der er ansvarlige for autentificeringsbehandling. Angribere implementere en bagdør efter at kompromittere deres mål på andre måder, som kroge installation kræver administratorrettigheder. Faktisk, værktøjet bruges til at øge stealth og skabe en bæredygtig tilstedeværelse.

Den grundlæggende idé bag skip-2.0 er at skabe den førnævnte ”magiske kodeord”. Hvis en sådan adgangskode indtastes på nogen autentificering sessionen, brugeren automatisk adgang; mens de sædvanlige skovhugst og revisionsfunktionerne ikke virker, det resulterer i en spøgelsesagtig session, der ikke er noteret nogen steder.

Læs også: Graboid minedrift orm spreder sig via Docker containere

Ifølge eksperter, spring-2,0 fungerer kun med MSSQL servere versioner 12 og 11. Selv MSSQL Server 12 blev udgivet tilbage i 2014, ifølge Censys, denne version er den mest anvendte.

Under analysen af ​​skip-2,0-kode, eksperter fundet beviser, der forbinder den med andre Winnti værktøjer, især med PortReuse og ShadowPad bagdøre. PortReuse er en bagdør til IIS servere opdaget af ESET i kompromitterede netværk af hardware og software leverandører i Sydasien i begyndelsen af ​​dette år. ShadowPad er en bagdør Trojan til Windows, først set inde applikationer skabt af sydkoreanske software maker NetSarang når Kinesiske hackere brød ind sin infrastruktur i midten af ​​2017.

LÆS  Kinesiske hackere skabe Messagetap malware, der kan stjæle SMS fra operatør netværk

Lignende manipulationer med in-game valuta blev allerede rapporteret i begyndelsen af ​​dette år, og FireEye specialister senere forbundet disse angreb med APT41.

Den skip-2,0 bagdør er en interessant tilføjelse til Winnti koncernens arsenal, deling af en stor del af ligheder med koncernens allerede kendt værktøjssæt, og lade angriberen at opnå vedholdenhed på en MSSQL server. I betragtning af, at administrative privilegier er påkrævet til installation krogene, skip-2,0 skal anvendes på allerede kompromitteret MSSQL servere for at opnå vedholdenhed og stealthiness.

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

ZoneAlarm hacket med vBulletin sårbarhed

ZoneAlarm fora hacket på grund af vBulletin sårbarhed

De fora på ZoneAlarm, which is owned by Check Point and whose products are used

Sådan fjerner Vildledende:Win32 / Lodi virus?

Misleading:Win32/Lodi is a generic detection utilized by Microsoft Security Essentials, Windows Defender and other anti-virus

Skriv et svar